Scritto da: Stefano Novelli il 2 marzo 2009 @ 20:26
Segnalo a MyMovies.it una vulnerabilità XSS nel loro campo di ricerca . Il Form inviava ad una pagina la nostra searchword che veniva stampata dentro una input text ; il $_GET non veniva controllato ed era possibile iniettare qualunque codice per web .
La falla è stata riparata in 30 min, considerando lettura della mail, verifica del codice, ricerca della stringa e inserimento di un eventuale htmlentities() o quel che sia e riupload nell’FTP potrebbero sembrare troppi, ma essendo le 14.30 non credevo davvero che qualcuno fosse davanti il piccì a lavorare .
Bella sorpresa per gli utenti di MyMovies.it e complimenti a Filippo Gini .
(l’articolo è stato posticipato di qualche ora per permettere allo staff di mymovies di fixare anche la pagina http://www.mymovies.it/database/ )
Tags: vulnerabilità
Categorie: Articoli sulla Sicurezza
Pregherei che anche Telecom Italia lavorasse cosi
Vabbè alle 14.30 anche io sto sempre al pc XD Dovevi provare la notte
io a quell’ora mangio xD